Zum Inhalt
Arbeiten Sie intelligenter mit unserer neuen, verbesserten Navigation!
Erfahren Sie, wie IO die Einhaltung von Vorschriften vereinfacht. Lesen Sie den Blog
ISMS.online

ISO 27002: 2022 - Kontrolle 5.33 - Schutz von Aufzeichnungen

ISO 27002:2022 Control 5.33 verpflichtet Organisationen dazu, Aufzeichnungen vor Verlust, Zerstörung, Verfälschung, unberechtigtem Zugriff oder Weitergabe zu schützen, indem sie Richtlinien zur Aufbewahrung, sicheren Speicherung und Entsorgung implementieren und gleichzeitig die Integrität sowie die Einhaltung gesetzlicher und geschäftlicher Anforderungen gewährleisten.

Autorin
Sam Peters
Aktualisiert Juli 25, 2025
4 / 5 Sterne

ISO 27002:2022 Kontrolle 5.33 – Best Practices zum Schutz von Aufzeichnungen

Aufzeichnungen sind ein unklares Konzept, das manche Unternehmen aus Compliance-Gründen nur schwer klassifizieren und verwalten können.

Aufzeichnungen im Sinne der IKT sind ein anderer Begriff für die Daten und Informationen, die eine Organisation speichert und/oder zur Durchführung ihrer täglichen Geschäftsaktivitäten verwendet, einschließlich (aber nicht beschränkt auf):

  1. Individuelle Veranstaltungen
  2. Transaktionen
  3. Arbeits prozess
  4. Aktivitäten
  5. Funktionen

ISO definiert Aufzeichnungen im Rahmen ihrer Standards als „jede Menge von Informationen, unabhängig von ihrer Struktur oder Form“, einschließlich „einem Dokument, einer Sammlung von Daten oder anderen Arten von Informationen, die im Geschäftsverlauf erstellt, erfasst und verwaltet werden“. “, einschließlich der Metadaten eines Datensatzes.

Zweck der Kontrolle 5.33

Jede Organisation ist verpflichtet, sicherzustellen, dass die von ihr gespeicherten Daten – einschließlich, aber nicht beschränkt auf Personen- und Finanzdaten – geschützt sind Informationen oder Einsatzgebiete – werden sicher und geschützt aufbewahrtund die internen Verfahren entsprechen weiterhin allen geltenden Anforderungen.

Control 5.33 befasst sich mit dem Schutz von Geschäftsunterlagen vor fünf wichtigen Ereignissen:

  1. Verlust
  2. Zerstörung
  3. Fälschung
  4. Unbefugter Zugriff
  5. Unbefugte Veröffentlichung oder Veröffentlichung

Attributtabelle

Kontrolle 5.33 ist ein vorbeugende Kontrolle zur Abwicklung, Integrierung, Speicherung und hält das Risiko aufrecht durch die Erstellung von Richtlinien und Verfahren – einschließlich Aufbewahrungsplänen –, die die gesetzlichen, satzungsmäßigen, behördlichen und vertraglichen Anforderungen einer Organisation in Bezug auf erfüllen Sicherheit kombiniert mit einem nachhaltigen Materialprofil. Verfügbarkeit aller Aufzeichnungen, die es besitzt.

Steuerungstyp Eigenschaften der Informationssicherheit Cybersicherheitskonzepte Operative Fähigkeiten Sicherheitsdomänen
#Präventiv #Vertraulichkeit #Identifizieren #Recht und Compliance #Verteidigung
#Integrität #Schützen #Vermögensverwaltung
#Verfügbarkeit #Informationsschutz


ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Allgemeine Leitlinien zur Kontrolle 5.33

Kontrolle 5.33 erkennt an, dass ein Die Bedürfnisse der Organisation sind fließend wenn es um die Menge und Art der Aufzeichnungen geht, die erforderlich sind, um von einem Tag auf den anderen Geschäfte abzuwickeln.

Daher kategorisiert Control 5.33 die Datensatzverwaltung in vier Hauptattribute:

  1. Authentizität
  2. Zuverlässigkeit
  3. Integrität
  4. Benutzerfreundlichkeit

Im Rahmen dieser Attribute fordert Control 5.33 Organisationen dazu auf:

  1. Entwerfen und veröffentlichen Sie Richtlinien, die sich mit vier Hauptfunktionen befassen, sowie themenspezifische Richtlinien, die auf die zugrunde liegende Natur der betreffenden Datensätze eingehen:

    a) Plattenspeicher
    b) Datenverarbeitungskette
    c) Entsorgung von Schallplatten
    d) Manipulationen verhindern

  2. Führen Sie einen Aufbewahrungsplan für funktionale Aufzeichnungen ein, der klar umreißt, wie lange Aufzeichnungen unterschiedlicher Art in Bezug auf ihre individuelle Geschäftsfunktion aufbewahrt werden sollten.
  3. Erstellen Sie Lager- und Handhabungsverfahren, die Folgendes berücksichtigen:

    a) alle geltenden Gesetze, die sich mit der Führung von Geschäftsunterlagen befassen
    b) „Gemeinschafts- und gesellschaftliche“ Erwartungen an den Umgang einer Organisation mit ihren Aufzeichnungen

  4. Implementieren Sie Verfahren, die Aufzeichnungen auf sichere und angemessene Weise vernichten, sobald sie nicht mehr benötigt werden (nach Ablauf der Aufbewahrungsfrist).
  5. Klassifizieren Sie Datensätze zum Schutz (einschließlich angemessener Aufbewahrungsfristen und verwendeter Speichermedien) basierend auf ihr Sicherheitsrisikound verschiedene Arten, einschließlich (aber nicht beschränkt auf):

    a) Buchführung
    b) Geschäftliche Transaktionen
    c) Persönliche Rekorde
    d) Rechtsakten

  6. Stellen Sie sicher, dass alle Speicherverfahren einen akzeptablen Zeitrahmen für den Abruf vorsehen, falls die Organisation gebeten wird, sie von Dritten oder für den internen Gebrauch bereitzustellen.
  7. Wenn elektronische Medien zum Speichern von Aufzeichnungen verwendet werden, sollten Sie die Möglichkeit in Betracht ziehen und mindern, dass der Zugriff auf oder das Abrufen von Aufzeichnungen durch technische Änderungen, einschließlich der Aufbewahrung kryptografischer Informationen, behindert wird (siehe Kontrolle 8.24).
  8. Halten Sie sich bei der Speicherung oder Handhabung von Aufzeichnungen auf oder über elektronische Medien an die Richtlinien des Herstellers, einschließlich angemessener Berücksichtigung der natürlichen Verschlechterung dieser Medien.


Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Änderungen und Unterschiede zu ISO 27002:2013

27002:2022-5.33 ersetzt 27002:2013-18.1.3 (Schutz von Aufzeichnungen) mit diversen Ergänzungen in Form einzelner Leitlinien und allgemeiner Prozesse, die eingehalten werden müssen.

In der Kontrolle 2022 erkennt die ISO an, wie wichtig es ist, zu definieren, was eine Geschäftsaufzeichnung darstellt. 27002:2022-5.33 enthält zahlreiche Beispiele dafür, was ISO unter einem Datensatz versteht (siehe oben), die in 27002:2013-18.1.3 fehlen.

Control 5.33 lenkt die Aufmerksamkeit einer Organisation auch auf zwei Hauptleitpunkte, die nicht in ihrem Gegenstück aus dem Jahr 2013 enthalten sind (Richtlinien 1 und 2 oben), die wiederum die Grundlage der Aufzeichnungsrichtlinie einer Organisation bilden – insbesondere einen Aufbewahrungsplan, der vorschreibt, wie Es sollten lange Aufzeichnungen über alle medienspezifischen Anforderungen aufbewahrt werden.

Auch im Records Management halten Metadaten erstmals Einzug. 27002:2013-18.1.3 enthält keine Erwähnung davon, während 27002:2022-5.33 es als „wesentlichen Bestandteil“ betrachtet.

Neue ISO 27002-Kontrollen

Neue Steuerelemente
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
5.7 NEU Bedrohungsinformationen
5.23 NEU Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30 NEU IKT-Bereitschaft für Geschäftskontinuität
7.4 NEU Physische Sicherheitsüberwachung
8.9 NEU Konfigurationsmanagement
8.10 NEU Löschung von Informationen
8.11 NEU Datenmaskierung
8.12 NEU Verhinderung von Datenlecks
8.16 NEU Überwachungsaktivitäten
8.23 NEU Web-Filter
8.28 NEU Sichere Codierung
Organisatorische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
5.1 05.1.1, 05.1.2 Richtlinien zur Informationssicherheit
5.2 06.1.1 Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3 06.1.2 Aufgabentrennung
5.4 07.2.1 Führungsaufgaben
5.5 06.1.3 Kontakt mit Behörden
5.6 06.1.4 Kontakt zu speziellen Interessengruppen
5.7 NEU Bedrohungsinformationen
5.8 06.1.5, 14.1.1 Informationssicherheit im Projektmanagement
5.9 08.1.1, 08.1.2 Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10 08.1.3, 08.2.3 Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11 08.1.4 Rückgabe von Vermögenswerten
5.12 08.2.1 Klassifizierung von Informationen
5.13 08.2.2 Kennzeichnung von Informationen
5.14 13.2.1, 13.2.2, 13.2.3 Informationsübertragung
5.15 09.1.1, 09.1.2 Zugriffskontrolle
5.16 09.2.1 Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3 Authentifizierungsinformationen
5.18 09.2.2, 09.2.5, 09.2.6 Zugangsrechte
5.19 15.1.1 Informationssicherheit in Lieferantenbeziehungen
5.20 15.1.2 Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21 15.1.3 Management der Informationssicherheit in der IKT-Lieferkette
5.22 15.2.1, 15.2.2 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23 NEU Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24 16.1.1 Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25 16.1.4 Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26 16.1.5 Reaktion auf Informationssicherheitsvorfälle
5.27 16.1.6 Aus Informationssicherheitsvorfällen lernen
5.28 16.1.7 Sammlung von Beweisen
5.29 17.1.1, 17.1.2, 17.1.3 Informationssicherheit bei Störungen
5.30 5.30 IKT-Bereitschaft für Geschäftskontinuität
5.31 18.1.1, 18.1.5 Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32 18.1.2 Rechte am geistigen Eigentum
5.33 18.1.3 Schutz von Aufzeichnungen
5.34 18.1.4 Privatsphäre und Schutz personenbezogener Daten
5.35 18.2.1 Unabhängige Überprüfung der Informationssicherheit
5.36 18.2.2, 18.2.3 Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37 12.1.1 Dokumentierte Betriebsabläufe
Menschenkontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
6.1 07.1.1 Rekrutierung
6.2 07.1.2 Beschäftigungsbedingungen
6.3 07.2.2 Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4 07.2.3 Disziplinarverfahren
6.5 07.3.1 Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6 13.2.4 Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7 06.2.2 Fernarbeit
6.8 16.1.2, 16.1.3 Berichterstattung über Informationssicherheitsereignisse
Physikalische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
7.1 11.1.1 Physische Sicherheitsbereiche
7.2 11.1.2, 11.1.6 Physischer Eintritt
7.3 11.1.3 Absicherung von Büros, Räumen und Anlagen
7.4 NEU Physische Sicherheitsüberwachung
7.5 11.1.4 Schutz vor physischen und umweltbedingten Bedrohungen
7.6 11.1.5 Arbeiten in sicheren Bereichen
7.7 11.2.9 Klarer Schreibtisch und klarer Bildschirm
7.8 11.2.1 Standort und Schutz der Ausrüstung
7.9 11.2.6 Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Speichermedium
7.11 11.2.2 Unterstützende Versorgungsunternehmen
7.12 11.2.3 Verkabelungssicherheit
7.13 11.2.4 Wartung der Ausrüstung
7.14 11.2.7 Sichere Entsorgung oder Wiederverwendung von Geräten
Technologische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
8.1 06.2.1, 11.2.8 Benutzerendpunktgeräte
8.2 09.2.3 Privilegierte Zugriffsrechte
8.3 09.4.1 Beschränkung des Informationszugriffs
8.4 09.4.5 Zugriff auf Quellcode
8.5 09.4.2 Sichere Authentifizierung
8.6 12.1.3 Kapazitätsmanagement
8.7 12.2.1 Schutz vor Malware
8.8 12.6.1, 18.2.3 Management technischer Schwachstellen
8.9 NEU Konfigurationsmanagement
8.10 NEU Löschung von Informationen
8.11 NEU Datenmaskierung
8.12 NEU Verhinderung von Datenlecks
8.13 12.3.1 Informationssicherung
8.14 17.2.1 Redundanz der Informationsverarbeitungseinrichtungen
8.15 12.4.1, 12.4.2, 12.4.3 Protokollierung
8.16 NEU Überwachungsaktivitäten
8.17 12.4.4 Uhrzeitsynchronisation
8.18 09.4.4 Verwendung privilegierter Hilfsprogramme
8.19 12.5.1, 12.6.2 Installation von Software auf Betriebssystemen
8.20 13.1.1 Netzwerksicherheit
8.21 13.1.2 Sicherheit von Netzwerkdiensten
8.22 13.1.3 Trennung von Netzwerken
8.23 NEU Web-Filter
8.24 10.1.1, 10.1.2 Verwendung von Kryptographie
8.25 14.2.1 Sicherer Entwicklungslebenszyklus
8.26 14.1.2, 14.1.3 Anforderungen an die Anwendungssicherheit
8.27 14.2.5 Sichere Systemarchitektur und technische Prinzipien
8.28 NEU Sichere Codierung
8.29 14.2.8, 14.2.9 Sicherheitstests in Entwicklung und Abnahme
8.30 14.2.7 Ausgelagerte Entwicklung
8.31 12.1.4, 14.2.6 Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Änderungsmanagement
8.33 14.3.1 Testinformationen
8.34 12.7.1 Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

Nutzung von ISMS.online kannst Du:

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Sam Peters

Sam ist Chief Product Officer bei ISMS.online und leitet die Entwicklung aller Produktmerkmale und -funktionen. Sam ist ein Experte in vielen Compliance-Bereichen und arbeitet mit Kunden an maßgeschneiderten oder groß angelegten Projekten.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.